俄罗斯黑客组织使用新型隐蔽 Ceeloader 恶意软件

Nobelium 黑客组织通过瞄准其云和托管服务提供商并使用新的自定义“Ceeloader”恶意软件，继续破坏全球政府和企业网络。

Nobelium 是微软对去年导致多个美国联邦机构妥协的 SolarWinds 供应链攻击背后的威胁参与者的名字。该组织被认为是俄罗斯外国情报局 (SVR) 的黑客部门，通常称为 APT29、The Dukes 或 Cozy Bear。

虽然 Nobelium 是一个使用自定义恶意软件 和 工具的高级黑客组织 ，但他们仍然会留下活动痕迹，研究人员可以使用这些痕迹来分析他们的攻击。
在 Mandiant 的一份新报告中，研究人员利用这一活动发现了黑客组织使用的策略、技术和程序 (TTP)，以及一个名为“Ceeloader”的新自定义下载器。

此外，研究人员将 Nobelium 分为两个不同的活动集群，归因于 UNC3004 和 UNC2652，这可能意味着 Nobelium 是两个合作的黑客组织。

供应链攻击

根据 Mandiant 所看到的活动，Nobelium 参与者继续 破坏云提供商和 MSP， 以此作为获得对其下游客户网络环境的初始访问权限的一种方式。

“至少在一个实例中，威胁行为者识别并破坏了一个本地 VPN 帐户，并利用该 VPN 帐户执行侦察并进一步访问受害 CSP 环境中的内部资源，最终导致内部域帐户遭到破坏，”Mandiant 解释道。

在至少一个其他漏洞中，黑客组织使用 CRYPTBOT 密码窃取恶意软件窃取用于对受害者的 Microsoft 365 环境进行身份验证的有效会话令牌。

值得注意的是，Nobelium 在单个环境中破坏了多个帐户，将每个帐户用于单独的功能，因此在暴露的情况下不会危及整个操作。

“攻击者利用受损的特权帐户，并使用 SMB、远程 WMI、远程计划任务注册和 PowerShell 在受害者环境中执行命令。” - 曼迪安特

“威胁行为者使用这些协议主要是为了执行侦察、在网络周围分发信标（Cobalt Strike），以及运行本地 Windows 命令以获取凭据。”

一种新的自定义“Ceeloader”恶意软件

Nobelium 以其开发和使用允许后门访问网络、下载更多恶意软件、网络跟踪、NTLM 凭据盗窃和其他恶意行为的自定义恶意软件而闻名。

Mandiant 发现了一种用 C 编写的名为“Ceeloader”的新自定义下载器，它支持直接在内存中执行 shellcode 有效负载。

该恶意软件被严重混淆，并将对 Windows API 的调用与大量垃圾代码混合在一起，以逃避安全软件的检测。

Ceeloader 通过 HTTP 通信，而 C2 响应在 CBC 模式下使用 AES-256 解密。

自定义 Ceeloader 下载器根据需要由 Cobalt Strike 信标安装和执行，不包括持久性以允许它在 Window 启动时自动运行。

Nobelium 过去曾使用过许多自定义恶意软件，特别是在 Solarwinds 攻击和 针对美国国际开发署 (USAID)的 网络钓鱼攻击中。

多种隐藏技巧

为了阻止追踪攻击的尝试，Nobelium 使用住宅 IP 地址（代理）、TOR、VPS（虚拟专用服务）和 VPN（虚拟专用网络）来访问受害者的环境。

在某些情况下，Mandiant 发现受感染的 WordPress 站点用于托管由 Ceeloader 获取并启动到内存中的第二阶段有效负载。

最后，攻击者使用合法的 Microsoft Azure 托管系统，其 IP 地址靠近受害者的网络。

这种方法有助于混合外部活动和内部流量，使检测恶意活动的可能性降低，分析变得更加困难。

Nobelium 仍然活跃

Mandiant 警告说，Nobelium 的活动主要集中在 情报收集上，因为研究人员看到了黑客窃取对俄罗斯具有政治利益的文件的证据。

微软之前已经将 UNC2652 和 UNC3004 与负责SolarWinds 供应链攻击的组织 UNC2452 联系起来 ，因此它们似乎都在同一个“Nobelium”保护伞下。

然而，Mandiant 强调，没有足够的证据可以高度自信地归因于这一点。

对于防御者而言，重要的是黑客仍在利用第三方和受信任的供应商（如 CSP）渗透有价值的目标网络，因此组织必须保持警惕，不断考虑新的 IOC，并保持其系统处于最新状态。

Mandiant 已 在这方面更新了 UNC2452 白皮书，其中包含在 2021 年活动中观察到的所有新 TTP。